Offcanvas

CSO / 랜섬웨어 / 보안 / 분쟁|갈등 / 악성코드

‘랜섬웨어’ 춘추전국시대, 2023년 생태계 살펴보기

2023.01.03 Lucian Constantin  |  CSO
2022년 랜섬웨어 생태계는 크게 변화했다. 공격자는 대규모 조직에서 소규모 서비스형 랜섬웨어(Ransomware-as-a-Service; RaaS) 그룹으로 전환했다. 유연성을 확보하고, 법 집행 기관의 관심을 덜 끌기 위해서다. 이러한 랜섬웨어의 이른바 ‘민주화’는 다양해진 전술, 공격 수법, 절차(TTPs), 추적해야 할 더 많은 침해 지표(IOCs), 협상 또는 몸값 지불 시 거쳐야 할 더 많은 장애물을 가져왔기 때문에 [기업에는] 나쁜 소식이다. 

시스코 탈로스 연구진은 연례 보고서에서 “생태계 변화 시점은 적어도 2021년 중반으로 거슬러 올라갈 수 있는데, 당시 콜로니얼 파이프라인(Colonial Pipeline) 랜섬웨어 공격과 이후 이어진 사법당국의 레빌(REvil) 그룹 소탕으로 여러 랜섬웨어 파트너십이 와해됐다”라면서, “이에 2023년의 랜섬웨어 생태계는 그 어느 때보다 다이내믹하리라 예상된다. 다양한 그룹이 법 집행 기관 및 민간 산업의 치열한 대응, 내분 및 내부자 위협 그리고 개발자와 운영자가 가장 수익성 좋은 랜섬웨어 공격을 찾아 계속해서 소속을 바꾸는 경쟁 시장에 적응하고 있어서다”라고 설명했다. 
 
ⓒCreated with DALL·E, an AI system by OpenAI

대형 랜섬웨어 그룹, 너무 많은 주목을 받았다
2019년부터 랜섬웨어 생태계는 ‘크고 전문화된’ 랜섬웨어 조직으로 연일 뉴스 헤드라인을 장식했고, 공격의 정당성을 인정받기 위해 언론의 관심을 끌기도 했다. 이를테면 랜섬웨어 그룹은 대변인을 통해 언론과 인터뷰를 하거나 대규모 침해와 관련하여 트위터 및 [자사의] 데이터 유출 웹사이트에 이른바 보도자료를 발행했다. 

2021년 美 동부 지역의 휘발유 공급을 그야말로 마비시킨, 다크사이드(DarkSide)의 콜로니얼 파이프라인 해킹 사건은 랜섬웨어 공격이 핵심 인프라에 미칠 수 있는 위험을 경고했고, 정부 차원에서 이러한 위협에 대처하기 위해 적극 나서기 시작했다. 법 집행 기관의 관심이 높아지자 지하 사이버 범죄 포럼은 랜섬웨어 그룹과의 협력을 재고하게 됐고, 몇몇 포럼은 이와 관련된 광고를 금지하기도 했다. 이후 머지않아 다크사이드가 운영을 중단했고, 그해 말 소디노키비(Sodinokibi)라고도 알려진 레빌이 뒤를 이었다. 레빌은 2019년 이후 가장 성공적인 랜섬웨어 그룹 중 하나였다. 

2022년 2월 러시아의 우크라이나 침공도 러시아와 우크라이나 또는 기타 구소련 국가에 조직원과 협력사가 있는 많은 랜섬웨어 그룹 간의 관계에 긴장을 초래했다. 콘티(러시아와 연계된 해킹 조직)를 비롯한 몇몇 그룹은 러시아를 지원하기 위해 서방 인프라를 공격하겠다고 위협하면서 [전쟁에] 가담했다. 이는 랜섬웨어 조직의 통상적인 비즈니스적(그리고 비정치적) 운영 방식에서 벗어난 행보였고, 다른 그룹의 비난을 받았다. 이에 콘티의 작전 기밀이 상당수 노출된 내부 커뮤니케이션 자료가 유출되기도 했다.  

[콘티의] 대대적인 코스타리카 정부 공격 이후 美 국무부는 콘티 핵심 운영자 정보(신원 또는 위치 등)를 제공하는 사람에게 1,000만 달러의 포상금을 지급하겠다고 밝혔고, 이는 2022년 5월 콘티가 돌연 운영을 중단하기로 한 결정에 기여했을 가능성이 높다. 콘티의 운영 중단으로 이후 몇 달 동안 랜섬웨어 활동이 줄어들긴 했으나 오래가진 못했다. 공백은 다른 그룹에 의해 빠르게 채워졌고, 그중 일부는 지난 2년 동안 운영을 중단한 콘티, 레빌 등의 구성원이 새로 만든 것으로 추정된다. 

→ 사이버 공격에 국가가 ‘휘청’··· 코스타리카의 안타까운 교훈

2023년 주목해야 할 랜섬웨어 갱단
(1) 최근 악명을 떨치고 있는 ‘록빗(LockBit)’
록빗은 [콘티가 사라진 이후] 협력사 프로그램을 개편하고 새롭게 업그레이드된 랜섬웨어 프로그램 버전을 내놓는 등 활동을 강화한 핵심 그룹이다. 2019년 처음 등장하긴 했지만 록빗 3.0(LockBit 3.0) 등장부터 이 그룹은 랜섬웨어 위협 지형을 주도하고 있다. 복수의 보안 업체에 따르면 록빗 3.0은 2022년 3분기 동안 가장 많은 공격 사건에서 발견된 랜섬웨어로 등극했으며, 아울러 지난 1년 동안 데이터 유출 웹사이트에서 가장 많은 피해자가 등록된 그룹이었다. 

한편 2023년 이 그룹에는 스핀오프가 있으리라 예상된다. 불만을 품은 前 개발자가 록빗의 빌더를 유출했기 때문이다. 이제 누구나 록빗 랜섬웨어 프로그램의 맞춤형 버전을 구축할 수 있다는 이야기다. 시스코 탈로스에 의하면 ‘Bl00dy Gang’이라는 새 랜섬웨어 그룹은 이미 최근 공격에서 유출된 록빗 3.0 빌더를 사용하기 시작한 것으로 드러났다. 

→ 록빗은 뜨고, 콘티는 지고… 올 2분기 랜섬웨어 공격 둔화

(2) 미화 1억 달러 이상을 갈취한 ‘하이브(Hive)’
시스코 탈로스에 따르면 록빗 다음으로 2022년에 가장 많은 피해자를 양산한 그룹은 하이브다. 이 그룹은 2022년 탈로스의 보고서에서 관찰된 핵심 랜섬웨어 패밀리였으며, 팔로알토 네트웍스(Palo Alto Networks)의 보고서에서도 콘티와 록빗에 이어 3위를 차지했다. FBI, 美 CISA(Cybersecurity and Infrastructure Security Agency), 美 HHS(Department of Health and Human Services)에 의하면 이 그룹은 2021년 6월부터 2022년 11월까지 전 세계 1,300개 이상의 회사에서 1억 달러 이상을 갈취했다. “해당 그룹은 하이브 랜섬웨어 또는 다른 랜섬웨어 변종을 사용해 몸값을 지불하지 않고 네트워크를 복구한 피해 기업의 네트워크를 재감염시키는 것으로 알려져 있다”라고 세 기관은 밝혔다. 

(3) 콘피의 스핀오프, ‘블랙 바스타(Black Basta)’
탈로스에 의하면 2022년 세 번째로 많은 피해자를 양산한 랜섬웨어 갱단은 블랙 바스타다. 이 그룹은 콘티에서 파생된 것으로 추정된다. 다소 유사한 기법을 구사하기 때문이다. 아울러 해당 그룹은 콘티가 운영을 중단하기 직전인 4월부터 활동을 시작했으며, 빠르게 툴셋을 진화시켰다. 블랙 바스타는 배포에 큐봇 트로이 목마(Qbot Trojan)를 활용하며, 프린트나이트메어(PrintNightmare) 취약점을 악용한다. 

2022년 6월부터 이 그룹은 주로 VM웨어 EXSi 가상머신을 타깃으로 하는 리눅스 시스템용 파일 암호생성기도 선보였다. 이러한 크로스 플랫폼 확장은 리눅스 암호생성기를 쓰는 록빗 및 하이브 등의 다른 랜섬웨어 그룹이나 여러 운영체제에서 실행할 수 있는 러스트(Rust)로 작성된 ALPHV(BlackCat) 등의 랜섬웨어에서도 볼 수 있다. 이밖에 소규모 랜섬웨어 갱단 헬로키티(HelloKitty; 또는 FiveHands라고도 불린다)는 또 다른 크로스 플랫폼 프로그래밍 언어이자 런타임인 고랭(Golang)을 기반으로 한다. 

(4) 모멘텀을 얻고 있는 ‘로열(Royal)’
콘티와 관련된 것으로 추정되는 로열은 2022년 초 등장했다. 처음에는 블랙캣(BlackCat), 제온(Zeon) 등 다른 그룹의 랜섬웨어 프로그램을 사용했지만 콘티에서 영감을 받았거나 이를 기반으로 한 것처럼 보이는 자체 파일 암호화 프로그램을 개발해 빠르게 모멘텀을 얻었고, 2022년 11월 피해 사례에서 록빗을 앞섰다. 이러한 추세라면 로열은 2023년 최고의 랜섬웨어 위협 중 하나가 될 것으로 예측된다. 

→ ‘콘티의 진화?’ 새 랜섬웨어 해킹 그룹 ‘로얄’의 유동적 암호화 수법

(5) 교육 부문을 타깃으로 하는 ‘바이스 소사이어티(Vice Society)’
다른 곳에서 개발한 랜섬웨어 프로그램을 재사용하여 성공을 거둔 랜섬웨어 그룹은 로열만이 아니다. 시스코 탈로스에 따르면 [자사의] 데이터 유출 사이트에 등록된 피해 사례 건수 기준 바이스 소사이어티는 네 번째로 큰 그룹이다. 이 그룹은 주로 교육 부문의 조직을 타깃으로 하며, 헬로키티(HelloKitty)와 제플린(Zeppelin) 등 기존 랜섬웨어 제품군의 포크를 기반으로 한다. 

더 많은 랜섬웨어 그룹이 위협 인텔리전스에 과제를 제시하고 있다
시스코 탈로스 연구진은 “랜섬웨어 독점의 종말은 위협 인텔리전스 애널리스트에게 과제를 제시하고 있다”라면서, “탈로스 데이터 유출 사이트에서 모니터링되는 피해 사례의 75%를 최소 8개의 [랜섬웨어] 그룹이 차지하고 있다. 새 그룹의 등장은 특징을 파악하기 어렵게 만든다. 공격자가 여러 RaaS 그룹에서 활동하기 때문이다”라고 말했다. 

한편 록빗을 포함한 몇몇 그룹은 피해자가 몸값을 지불할 수밖에 없도록 추가 공격 수법(예: 디도스(DDoS) 공격 등)을 도입하기 시작했다. 랜섬웨어 그룹이 최종 랜섬웨어 페이로드를 배포하기 전에 공격을 수익화하기 위해 새로운 수법을 구사하리라 예상되는 이 추세는 2023년에도 계속될 전망이다. ciokr@idg.co.kr
 
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.